Aanbevelingen voor API/API Management-beveiliging

In dit artikel worden alle beveiligingsaanaanvelingen voor API/API Management weergegeven in Microsoft Defender voor Cloud.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt uitvoeren als reactie op deze aanbevelingen.

Azure API-aanbevelingen

Microsoft Defender voor API's moet zijn ingeschakeld

Description & gerelateerd beleid: schakel het Defender voor API's in om API-resources te detecteren en te beveiligen tegen aanvallen en onjuiste beveiligingsconfiguraties. Meer informatie

Ernst: Hoog

Azure API Management API's moeten worden toegevoegd aan Defender voor API's

Description & gerelateerd beleid: Onboarding-API's voor Defender voor API's vereist reken- en geheugengebruik op de Azure API Management-service. Bewaak de prestaties van uw Azure API Management-service tijdens het onboarden van API's en schaal uw Azure API Management resources zo nodig uit.

Ernst: Hoog

API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service

Description & gerelateerd beleid: als best practice voor beveiliging worden API-eindpunten die geen verkeer van 30 dagen hebben ontvangen, beschouwd als ongebruikt en moeten ze worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft uit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest up-to-datumbeveiligingsdekking.

Ernst: Laag

API-eindpunten in Azure API Management moeten worden geverifieerd

Description & gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling verificatie door de aanwezigheid van Azure API Management abonnementssleutels te controleren voor API's of producten waarvoor een abonnement is vereist, en de uitvoering van beleid voor het valideren van JWT, clientcertificaten en Microsoft Entra tokens. Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling.

Ernst: Hoog

Ongebruikte API-eindpunten moeten worden uitgeschakeld en verwijderd uit functie-apps (preview)

Beschrijving en gerelateerd beleid: API-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden beschouwd als ongebruikt en vormen een mogelijk beveiligingsrisico. Deze eindpunten zijn mogelijk per ongeluk actief gelaten wanneer ze moeten zijn afgeschaft. Vaak ontbreken ongebruikte API-eindpunten de nieuwste beveiligingsupdates, waardoor ze kwetsbaar zijn. Als u mogelijke beveiligingsschendingen wilt voorkomen, raden we u aan deze door HTTP geactiveerde eindpunten uit te schakelen en te verwijderen uit Azure Functie-apps.

Ernst: Laag

Ongebruikte API-eindpunten moeten worden uitgeschakeld en verwijderd uit Logic Apps (preview)

Beschrijving en gerelateerd beleid: API-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden beschouwd als ongebruikt en vormen een mogelijk beveiligingsrisico. Deze eindpunten zijn mogelijk per ongeluk actief gelaten wanneer ze moeten zijn afgeschaft. Vaak ontbreken ongebruikte API-eindpunten de nieuwste beveiligingsupdates, waardoor ze kwetsbaar zijn. Om mogelijke beveiligingsschendingen te voorkomen, raden we u aan deze eindpunten uit te schakelen en te verwijderen uit Azure Logic Apps.

Ernst: Laag

Verificatie moet zijn ingeschakeld voor API-eindpunten die worden gehost in Functie-apps (preview)

Description & gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure Functie-apps moeten verificatie afdwingen om het beveiligingsrisico te minimaliseren. Dit is van cruciaal belang om onbevoegde toegang en mogelijke schendingen van gegevens te voorkomen. Zonder de juiste verificatie kunnen gevoelige gegevens beschikbaar worden gesteld, wat de beveiliging van het systeem in gevaar kan brengen.

Ernst: Hoog

Verificatie moet zijn ingeschakeld op API-eindpunten die worden gehost in Logic Apps (preview)

Description & gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure Logic Apps moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Dit is van cruciaal belang om onbevoegde toegang en mogelijke schendingen van gegevens te voorkomen. Zonder de juiste verificatie kunnen gevoelige gegevens beschikbaar worden gesteld, wat de beveiliging van het systeem in gevaar kan brengen.

Ernst: Hoog

Aanbevelingen voor API Management

API Management-abonnementen mogen niet worden beperkt tot alle API's

Beschrijving en gerelateerd beleid: API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens.

Ernst: gemiddeld

API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan

Beschrijving en gerelateerd beleid: API Management moet het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in om de API-beveiliging te verbeteren.

Ernst: gemiddeld

Het eindpunt voor direct beheer van API Management mag niet worden ingeschakeld

Description & gerelateerd beleid: De REST API voor direct beheer in Azure API Management omzeilt Azure Resource Manager op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen, waardoor het beveiligingsprobleem van uw service toeneemt.

Ernst: Laag

API Management-API's mogen alleen versleutelde protocollen gebruiken

Beschrijving en gerelateerd beleid: API's moeten alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS, om de beveiliging van gegevens in transit te waarborgen.

Ernst: Hoog

Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault

Beschrijving en gerelateerd beleid: Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Referentiegeheim benoemde waarden uit Azure Key Vault om de beveiliging van API Management en geheimen te verbeteren. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie.

Ernst: gemiddeld

API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen

Beschrijving en gerelateerd beleid: om de beveiliging van API Management-services te verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals API voor direct toegangsbeheer, Eindpunt voor Git-configuratiebeheer of zelf-hostende gateways- en configuratie-eindpunten.

Ernst: gemiddeld

De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger

Beschrijving en gerelateerd beleid: Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger.

Ernst: gemiddeld

API Management-aanroepen naar API-back-ends moeten worden geverifieerd

Beschrijving en gerelateerd beleid: aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of het gaat om certificaten of referenties. Is niet van toepassing op Service Fabric back-ends.

Ernst: gemiddeld

Gerelateerde inhoud

  • Last updated on